Guía para crear y modificar los recursos AWS de la Torre de Control - AWS Control Tower

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Guía para crear y modificar los recursos AWS de la Torre de Control

Recomendamos las siguientes prácticas recomendadas a la hora de crear y modificar recursos en AWS Control Tower. Estas directrices podrían cambiar cuando se actualiza el servicio. Recuerde que el modelo de responsabilidad compartida se aplica a su entorno AWS de Control Tower.

Directrices generales

  • No modifique ni elimine ningún recurso creado por la Torre de AWS Control, incluidos los recursos de la cuenta de administración, las cuentas compartidas y las cuentas de los miembros. Si modificas estos recursos, es posible que tengas que actualizar tu landing zone o volver a registrar una OU, y la modificación puede dar lugar a informes de conformidad inexactos.

    En particular:

    • Mantenga una AWS Config grabadora activa. Si eliminas tu grabadora Config, los controles de detección no podrán detectar ni informar de la desviación. Los recursos no conformes pueden declararse conformes debido a que no hay suficiente información.

    • No modifique ni elimine las funciones AWS Identity and Access Management (IAM) creadas en las cuentas compartidas de la unidad organizativa (OU) de seguridad. Si lo hace, es posible que tenga que actualizar estos roles en su zona de destino.

    • No elimines el AWSControlTowerExecution rol de las cuentas de tus miembros, ni siquiera en las cuentas no inscritas. Si lo hace, no podrá inscribir estas cuentas en AWS Control Tower ni registrar su matriz inmediataOUs.

  • No prohíba el uso de ninguna Regiones de AWS SCPs a través de AWS Security Token Service (AWS STS). Si lo hace, la Torre AWS de Control pasará a un estado indefinido. Si no permites las Regiones con AWS STS, tu funcionalidad fallará en esas regiones, ya que la autenticación no estará disponible en esas regiones. En su lugar, confíe en la AWS capacidad de denegar la región de la Torre de Control, como se muestra en el control, denegar el acceso en AWS función de la solicitud Región de AWS, que funciona a nivel de la zona de aterrizaje, o en la región de control denegar el control aplicada a la OU, que funciona a nivel de la OU para restringir el acceso a las regiones.

  • Esta AWS Organizations FullAWSAccess SCP debe aplicarse y no debe combinarse con ninguna otraSCPs. Este cambio no SCP se considera una desviación; sin embargo, algunos cambios pueden afectar a la funcionalidad de la Torre de AWS Control de formas impredecibles si se deniega el acceso a determinados recursos. Por ejemplo, si SCP se separa o modifica, una cuenta puede perder el acceso a una AWS Config grabadora o crear un vacío en el CloudTrail registro.

  • No lo utilices AWS Organizations DisableAWSServiceAccess API para desactivar el acceso al servicio de la Torre de AWS Control a la organización en la que configuraste tu landing zone. Si lo hace, es posible que algunas funciones de detección de desviaciones de la Torre de AWS Control Tower no funcionen correctamente sin el soporte de mensajería de su parte AWS Organizations. Estas funciones de detección de desviaciones ayudan a garantizar que AWS Control Tower pueda informar con precisión el estado de cumplimiento de las unidades organizativas, las cuentas y los controles de su organización. Para obtener más información, consulte API_DisableAWSServiceAccess en la AWS Organizations referencia de la API.

  • En general, la Torre de AWS Control realiza una sola acción a la vez, que debe completarse antes de que pueda comenzar otra acción. Por ejemplo, si intenta aprovisionar una cuenta mientras el proceso de activación de un control ya está en marcha, el aprovisionamiento de la cuenta fallará.

    Excepción:

    • AWSControl Tower permite que las acciones simultáneas desplieguen controles opcionales. Para obtener más información, consulte Despliegue simultáneo para ver los controles opcionales.

    • AWSControl Tower permite crear, actualizar o inscribir hasta diez acciones simultáneas en cuentas con Account Factory.

nota

Para obtener más información sobre los recursos creados por la Torre AWS de Control, consulte¿Qué son las cuentas compartidas?.

Consejos sobre cuentas y OUs

  • Le recomendamos que mantenga un máximo de 1000 cuentas por unidad organizativa registrada, de modo que pueda actualizarlas con la función de volver a registrar la unidad organizativa siempre que sea necesario actualizar la cuenta, por ejemplo, al configurar nuevas regiones para su gobernanza.

  • Para reducir el tiempo necesario para registrar una unidad organizativa, le recomendamos que mantenga el número de cuentas por unidad organizativa en torno a 680, aunque el límite sea de 1000 cuentas por unidad organizativa. Como regla general, el tiempo necesario para registrar una OU aumenta en función del número de regiones en las que opera la OU, multiplicado por el número de cuentas de la OU.

  • Se calcula que una unidad organizativa con 680 cuentas puede tardar hasta 2 horas en registrarse y activar los controles, y hasta 1 hora en volver a registrarse. Además, una unidad organizativa que tiene muchos controles tarda más en registrarse que una unidad organizativa con pocos controles.

  • Una de las preocupaciones que plantea la posibilidad de prolongar el período de registro de una unidad organizativa es que este proceso bloquea otras acciones. Algunos clientes prefieren disponer de más tiempo para registrar o volver a registrar una OU, ya que prefieren tener más cuentas en cada OU.